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== (54) Title: CRYPTOGRAPHIC METHOD FOR MODULAR EXPONENTIATION, PROTECTED AGAINST DPA-TYPE AT- 
= TACKS 

= (54) Titre : PROCEDE CRYPTOGRAPHIQUE D 'EXPONENTIATION MODULAIRE PROTEGE CONTRE LES ATTAQUES 
= DETYPEDPA 

^^=. (57) Abstract: The invention relates to the protection of cryptographic methods against DPA-type covert channel attacks and, in 
particular, to a cryptographic method during which an x A d-type modular exponentiation is performed, wherein d is a whole number 
^= exponent of m+1 bits, consisting in: scanning the d bits from left to right in a loop subscripted by i varying between m and 0; and, 
with each revolution of rank i, calculating and saving an updated partial result equal to x A b(i) in an accumulator (R0), b(i) being the 
^ = most significant m-i+1 bits of exponent d ( b (i) = d m _>i). According to the invention, at the end of a revolution of randomly-selected 
fvj rank i(j) (i = i(0)), a randomisation step El is performed, consisting in subtracting a random number z (z= b(i(j)), z = b (i(j)) .2 T , z = 
^4 u) from part of the d bits that have not yet been used (d^.x)) in the method. Subsequently, once the d bits modified by randomisation 
step El have been used, a consolidation step E2 is performed, consisting in saving (R0 <- RlxRO), in the accumulator (R0), the result 
of the multiplication of the contents of the accumulator (x A b(i)) by a number that is a function of x A z stored in a registry (Rl). 

(57) Abrege : Dans le domaine de la protection des precedes crypto graphi que s contre les attaques a canaux caches de type DPA, 
\^ l'invention concerne un procede crypto graphique au cours duquel on realise une exponentiation modulaire de type x A d, avec d un 
exposant entier de m+1 bits, en balayant les bits de d de gauche a droite dans une boucle indicee par i variant de m a 0 et en calculant 
et en memorisant dans un accumulateur (RO), a chaque tour de rang i, un resultat partiel actualise egal a x A b(i), b(i) etant les m-i+1 
bits de poids les plus forts de l'exposant d ( b (i) = d m _>i) .Selon l'invention, a la fin d'un tour de rang i(j) (i = i(0)) choisi aleatoire- 
ment, on realise une etape El de randomisation au cours de laquelle El: on soustrait un nombre z (z= b(i(j)), z = b (i(j)) .2 T , z = 
u) aleatoire a une partie des bits de d non encore utilises ( di_i_ >0 ) dans le procede puis, apres avoir utilise les bits de d modifies par 
l'etape de randomisation El, on realise une etape de consolidation E2 au cours de laquelle: E2 : on memorise (R0 <- RlxRO) dans 
l'accumulateur (RO) le resultat de la multiplication du contenu de raccumulateur (x A b(i)) par un nombre fonction de x A z memorise 
dans un registre (Rl). 
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PROCEDE CRYPTOSRAPHIQUE D 1 EXPONENTIATION MODULAIRE PROTEGE CONTRE 

LES ATTAQUES DE TYPE DP A 

Dans le dornaine de la protection des algorithmes 
cryptographiques contre les attaques DPA, 1 1 invention 
concerne un procede au cours duquel on realise une 
exponentiation modulaire de type x A d, avec d un exposant 
5 entier de m+1 bits, en balayant les bits de d de gauche a 
droite dans une boucle indicee par i variant de m a 0 et 
en calculant et en memorisant dans un accumulateur (R0) , 
a chaque tour de rang i , un resultat partiel actualise 
egal a x^b (i) - b(i) correspond aux m-i+1 bits de poids 
10 les plus forts de 1 T exposant d : b(i) = d m ->i- Le nombre 
constitue des bits de poids j a k de d est defini par : 
d k ->j= (d k . - r dj) 2 = Ei=j a±. 2" (i - j) . 

L T exponentiation modulaire est une des operations 
elementaires utilises dans de nombreux cryptosystemes f 

15 tels que les cryptosystemes RSA (Rivest, Shamir and 
Adleman) ou les cryptosystemes DH (Diffie and Hellman) . 
Pour de telles applications , x est par exemple un message 
a chiffrer ou dechiffrer, a signer ou a authentif ier , et 
d est par exemple une cle publique, une cle secrete, ou 

20 une partie d f une telle cle. 

Depuis l 1 invention de la cryptographie a cle publique par 
Diffie et Hellman, de nombreux cryptosystemes a cle 
publique ont ete proposes. Parmi ceux qui resistent a 
1 'analyse cryptographique, le cryptosysteme RSA est sans 
25 aucun doute le plus largement utilise. Sa securite 
intrinseque reside dans la difficulty de factoriser des 
grands nombres entiers . En depit d T intensives recherches, 
le probleme de la factorisation est encore considere 
comme un important probleme, rendant le cryptosysteme RSA 
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sur pour des applications sensibles comme par exemple le 
chiffrement de donnees ou la signature digitale. 

Aussi, plutot que de tenter de casser 1 T algorithme RSA a 
un niveau mathematique, les cryptographes se sont 
5 interesses aux implementations concretes des 

cryptosystemes RSA. Ceci a conduit a l'essor des attaques 
par fautes et des attaques a canaux caches , visant a 
decouvrir notamment des informations conf identielles 
(comme par exemple des cles ou des parties des cles) 
10 manipulees au cours de l f une ou de l 1 autre des etapes 
mises en oeuvre par le dispositif de calcul executant une 
operation cryptographique - 

Les attaques a canaux caches les plus connues sont dites 
simples ou dif f erentielles . On entend par attaque a canal 

15 cache simple (SPA) ou dif f erentielle (DPA) , une attaque 
basee sur la mesure d T une grandeur physique depuis 
l'exterieur du dispositif , dont l 1 analyse directe 
(attaque simple SPA) ou l 1 analyse selon une methode 
statistique (attaque dif f erentielle DPA) permet de 

20 decouvrir des informations manipulees dans le dispositif. 
Ces attaques ont notamment ete devoilees par Paul Kocher 
(Advances in Cryptology - CRYPTO 1 99, vol. 1666 of Lecture 
Notes in Computer Science, pp. 388-397. Springer-Verlag, 
1999) . 

25 Parmi les grandeurs physiques qui peuvent etre exploitees 
a ces fins, on peut citer le temps d T execution, la 
consommation en courant, le champ electromagnetique 
rayonne par la partie du composant utilisee pour executer 
le calcul, etc. Ces attaques sont basees sur le fait que, 

30 au cours de 1 T execution d f un algorithme, la manipulation 
d T un bit, c'est a dire son utilisation par une 
instruction particuliere, laisse une empreinte 
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particuliere sur la grandeur physique consideree, selon 
la valeur de ce bit et / ou selon 1 1 instruction. 



II existe deux families d T implementations des algorithmes 
5 d T exponentiation permettant d'evaluer la valeur de y = 
x A d mod N : les implementations dites de droite a gauche 
et les implementations dites de gauche a droite. 

Dans les implementations de gauche a droite , on balaye 
les bits de l'exposant depuis le bit de poids le plus 

10 fort jusqu T au bit de poids le plus faible. Dans cette 
deuxieme famille d 1 algorithmes d f exponentiation, est 
notamment connu l f algorithme SAM (pour Square And 
Multiply ou elever au carre et multiplier) et ses 
variantes telles que les algorithmes a fenetre glissante. 

15 Par rapport aux algorithmes dits de droite a gauche , les 
algorithmes de gauche a droite necessitent moins de 
memoire et permettent 1 1 utilisation de puissances x A i 
precalculees pour accelerer le calcul de y. Tous les 
algorithmes de gauche a droite ont en commun 

20 1 1 utilisation d f un accumulateur (ou registre) qu f on 
actualise tout au long du calcul pour memoriser la valeur 
de x A d m _>i mod N pour des valeur s decroissantes de i 
jusqu'a ce que 1 T accumulateur contienne la valeur finale 
y = x^ d m „ >0 = x A d mod N . d k ->j est le mot constitue des 

25 bits de poids j a k de d. 

Le principe general de l'algorithme SAM est le suivant . 
On note d = <d m , . . . , d 0 ) 2 = Li=o d i- 2Ai * la representation 
binaire de l T exposant d, avec d± G {0, 1} , le bit de 
poids i de d. Pour chaque bit de d, l'algorithme SAM 
30 memorise dans un accumulateur (registre R0) un resultat 
actualise calcule a partir de la relation de recurrence 
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* A d m _ >± = (x A d m _ >i+1 ) 2 * x A d ± , avec x A d m ->m = x A d m , ce qui 

est resume par 1 1 algorithrne ci-dessous : 
Entree : x, d = (d m , . . . , d 0 >2 

Sortie : y = x A d mod N 
5 R0 <- 1 ; R2 O x, i <- m 

tant que i > 0, faire : 
R0 <- ROxRO mod N 

si di = 1 alors R0 <- R0xR2 mod N 
i <- i-1 

10 fin tant que 

retourner R0 

R0 <- x signifie que 1 1 on memorise dans le registre R0 la 
valeur de x. ROxRO signifie que l f on realise une mise au 
carre du contenu du registre R0 . R0*R2 signifie qu T on 
15 realise le produit du contenu du registre R0 par le 
contenu du registre R2 . Enfin, d±->j fait reference aux 
bits de rang j a i de d. 



Pour prevenir les attaques d 1 implementation,, il est connu 
20 qu f il faut rendre les algorithmes aleatoires . Dans le cas 
du crypto systeme RSA f on connait actuellement deux types 
de contre-mesures pour rendre aleatoire le calcul de y = 
x A d mod N. 

Le premier type de contre-mesure consiste a rendre 
25 aleatoire les donnees d T entree de 1 1 algorithrne . 

Un premier exemple de cette premiere contre-mesure 
consiste a rendre aleatoire la donnee x avant de realiser 
1 T exponentiation modulaire f en ajoutant a x un terme 
aleatoire et a faire les calculs modulo 2 A k N r avant un 
30 modulo N final : 

x <- x + rl.N, avec rl un nombre aleatoire de k-bits 
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et a faire les calculs modulo (2 A k) .N, avant une 
reduction modulo N finale. Cette premiere contre-mesure, 
decrite par P. Kocher, present e 1 T avantage d'etre 
independante de 1 1 algorithme d 1 exponentiation . 

5 Un deux i erne exemple de cette premiere contre-mesure 
consiste a rendre aleatoire l'exposant d avant de 
realiser 1 1 exponentiation modulaire, en lui ajoutant un 
terme aleatoire : 

d <- d + r2.<|)(N), r2 un nombre aleatoire de k-bits . 

10 Le plus souvent, ces deux solutions sont combinees pour 
realiser l f operation y = y mod N avec y = x A d 
mod(2 k „N) . 

Un troisieme exemple de cette premiere contre-mesure 
utilisee seule par exemple lorsque x est le resultat d f un 
15 formatage probabiliste (par exemple a l'aide de la 
fonction PSS ou Probabilistic Signature Scheme) , car dans 
ce cas, x est deja masque et on calcule directement y = 
x A d mod N avec d = d + r2.(|)(N) avec r2 aleatoire. 

Malheur eu semen t, une telle randomisation de l T exposant d 
20 est limitee a des implementations particulieres, appelees 
implementations CRT r du cryptosysteme RSA car la valeur 
de la constante d f Euler (j) (N) n f est generalement pas connue 
de 1 T algorithme d T exponentiation prive dans sa version 
standard (c T est-a-dire non CRT) . 

25 La deux i erne contre-mesure consiste a rendre 1 T algorithme 
d T exponentiation lui-meme aleatoire. La meilleure mise en 
pratique de la 2 6me contre-mesure est 1 T algorithme MIST de 
Walter. L f algorithme MIST genere de maniere aleatoire une 
nouvelle chaine d 1 addition pour l T exposant d pour 

30 realiser x A d mod N. Pour minimiser le nombre de 
registres, la chaine d T addition est realisee a la volee 
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par 1 T intermediaire d f une adaptation d f un algorithme 
d 1 exponentiation base sur des chaines de divisions. Un 
autre exemple est une version amelioree d T un algorithme a 
fenetre glissante {voir Kouichi Itoh, Jun Yajima, 
5 Masahiko Takenaka and Naoya Torii. DPA countermeasures by 
improving the window method CHES 2 002 , volume 252 3 of 
Lecture Notes in computer Science, pages 303-317 , 
Springer Verlag 2 002) . Compare a la premiere contre- 
mesure, ceci permet de rendre aleatoire 1 1 exponentiation 
10 sans avoir besoin de connaitre <)><N) mais necessite un 
algorithme de division securise pour calculer les chaines 
de divisions et cause des soucis de gestion des calculs 
non negligeables . 

L T invention propose un nouveau procede pour rendre 
15 aleatoire l f execution d'une exponentiation modulaire, 
dans le but de prevenir les attaques dif f erentielles 
(DPA) , presentant les avantages des deux contre-mesures 
connues : comme dans la premiere contre-mesure, le 
procede selon l 1 invention n f impose pas d 1 algorithme 
20 d f exponentiation particulier et s 1 applique a tout 
algorithme d 1 exponentiation, et comme dans la deuxieme 
contre-mesure, dans 1 T invention, l 1 algorithme lui-meme 
est rendu aleatoire, et non plus seulement les donnees 
qu T il manipule. Ainsi, l 1 algorithme n T a pas besoin de 
25 connaitre (N) et / ou la cle publique e dans une 
exponentiation RSA (la cle e est souvent indisponible a 
I 1 algorithme de signature ou de dechif frement) . 

Le procede selon 1 T invention introduit le concept de 
exponentiation auto-aleatoire, signifiant que l'exposant 
30 d est utilise lui-meme comme une source additionnelle 
d 1 aleatoirite dans le processus d f exponentiation. 

Ainsi, 1 1 invention concerne un procede cryptographique au 
cours duquel on realise une exponentiation modulaire de 
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type x A d, avec d un exposant entier de m+1 bits, en 
balayant les bits de d de gauche a droite dans une boucle 
indicee par i decrements de m a 0 par pas de 1 et en 
calculant et en memorisant dans un accumulateur, a chaque 
5 tour de rang i, un resultat partiel actualise egal a 
x A b(i), b(i) etant les m-i+1 bits de poids les plus forts 
de 1 T exposant d. 

Le procede selon 1 T invention est caracterise en ce que : 

- a la fin d T un tour de rang i(j) (i = i(0)) choisi 
10 aleatoirement, on realise une etape El de randomisation 

au cours de laquelle : 

El : on soustrait un nombre z (z= b(i(j)), z = 
b (i (j ) ) . 2 T , z = u) aleatoire a une partie des bits de 
d non encore utilises (di-i->o) dans le procede 

15 - puis, apres avoir utilise les bits de d modifies par 
l f etape de randomisation El, on realise une etape de 
consolidation E2 au cours de laquelle : 

E2 : on memorise (R0 <- RlxRO) dans 1 1 accumulateur 
(R0) le resultat de la multiplication du contenu de 
20 1 1 accumulateur (x A b(i)) par un nombre fonction de x A z 

memorise dans un registre (Rl) . 

D f un point de vue pratique, au cours de 1 T etape El, le 
nombre z est soustrait au contenu d T un registre dans 
lequel est memorise initialement l f exposant d, et le 
25 resultat de la soustraction est memorise dans le meme 
registre, puis on continue de balayer les bits de b. 

Pour que le resultat de 1 1 exponentiation x A d mod N soit 
correct a la fin du procede, l 1 etape de randomisation El, 
ne doit pas modifier les bits de d deja utilises dans le 
30 calcul (on rappelle que le procede utilise un algorithme 
de gauche a droite). L f index i(j) auquel on realise la 
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randomisation El, choisi aleatoirement, doit done etre 
choisi tel que les m-i ( j ) +1 bits de poids les plus forts 
du registre contenant initialement l f exposant d restent 
inchanges lors de 1 1 etape El. On appellera par la suite 
5 cette condition une condition de "consistance". 



L'idee essentielle de 1 T invention st ainsi d'utiliser un 
decoupage du calcul de x A d mod N de la forme : x A d = 
x A (d-z)*x A z (decrit dans la demande de brevet frangais n° 

10 02 04117 (n° a confirmer) avec z un nombre aleatoire 
utilise comme moyen de masquage de l f exposant d. On 
choisit de preference des valeurs de z appropriees telles 
que x A z puisse etre obtenu facilement a partir de x A b 
deja calcule par ailleurs au cours du procede . A noter 

15 qu f un choix totalement aleatoire de z entraine un quasi 
doublement du temps de calcul . 

Le procede selon 1 T invention s 1 applique independamment de 
1 1 algorithme d f exponentiation de gauche a droite. Par 
ailleurs, le rang i(j) auquel on realise 1 F etape El est 
20 choisi aleatoire done le procede lui-meme est aleatoire, 
et non pas seulement les donnees qu T il manipule . 

Le procede selon 1 T invention est egalement efficace en 
termes de place (il ne necessite qu'un seul registre de 
calcul supplementaire) et en terme de temps de calcul, 
25 comme on le verra mieux par la suite dans l'exemple de 
1' algorithme SAM. 

Le procede selon 1 T invention est encore facile a mettre 
en oeuvre quel que soit l f algorithme auquel il est 
applique : il ne repose sur aucune propriete de groupe et 
30 sa mise en oeuvre ne necessite pas de connaitre au 
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prealable l*ordre du groupe dans lequel 1 T exponentiation 
est realisee. 

Enfin f le procede selon l 1 invention peut etre utilise 
conjointement avec d f autres mesures de protection des 
5 algorithmes, comme par exemple les contre mesures 
devoilees par P. Kocher et rappelees precedemment . 



L f etape El de randomisation peut etre realisee une seule 
fois au cours du procede. L'etape El peut egalement etre 

10 realisee plusieurs fois, a la fin de differents tours de 
rang i(j) (c f est-a-dire au rang i = i(0), puis au rang i 
= i(l), puis enfin au . rang i = i(f)) choisis 

aleatoirement entre 0 et m. L'idee est ici d'ameliorer 
encore la securite du procede en utilisant la relation : 

15 x A d = x A (d-zl-z2-...-zf ) x X A zlxx A z2x ... x X A zf 

- x A ( ( (d-zl) -z2) -...-zf ) x ( (x A zl) x X A z2) x ... x x A zf 

On peut choisir au debut du procede le ou les rangs i(j) 
aleatoires auxquels on realise une randomisation El. Par 
exemple, au debut du procede, on determine un ensemble 

20 predefini {i(0), i(l), i(f)} de f+1 (f etant aleatoire 

ou non) valeurs de 1 T index i pour lesquelles on souhaite 
realiser une randomisation El. Dans ce cas, a chaque 
tour, on decide de realiser ou non une randomisation El 
selon que l 1 index courant i fait partie ou non de 

25 1 T ensemble predefini. 

On peut aussi choisir aleatoirement au debut de chaque 
tour i de realiser ou non l f etape El de randomisation. 
Dans ce cas, on utilise par exemple une variable 
booleenne p, tiree aleatoirement a la fin de chaque tour 
30 d 1 index i . 
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Differents modes de realisation de l 1 invention vont 
maintenant etre decrits, qui different l T un de l 1 autre 
essentiellement par le mode de realisation de l'etape El, 
5 et notamment par le choix de z et par le choix de la 
partie de d a laquelle on soustrait z . 



Selon un premier mode de realisation, on choisit de 
realiser l T etape de consolidation une seule fois a la fin 
10 du procede . Ceci impose de soustraire z systematiquement 
aux bits de poids les plus faibles de l'exposant d, de 
sorte a obtenir un resultat correct a la fin du procede. 



Selon une premiere variante de ce mode de realisation, on 
15 choisit z = b(i(j)) = d m ->±(j) pour un nombre aleatoire 
i(j) choisi et, au cours de l'etape de randomisation El, 
on soustrait b(i(j)) ad, c f est-a-dire aux bits de poids 
les plus faibles de d. 

Le choix z = b(i(j)) est particulierement avantageux 
20 puisque x A b(i(j)) = x A d m ->i ( j) est deja disponible dans 
l'accumulateur a la fin du tour i{j) et n T a done pas 
besoin d'etre calcule. La variable i(j) est choisie telle 
q Ue i es bits de poids i(j) a m du nombre d-b(i(j)) soient 
egaux aux bits de poids i(j) du nombre d, de sorte que 
25 les m-i(j)+l premiers tours du calcul de x A d sont 
identiques aux m~i(j)+l premiers tours du calcul de x A (d~ 
b(i(j))) (condition de consistance) . A la fin du tour 
i(j), on calcule d-z = d-b(i(j)) et on memorise le 
contenu de 1 f accumulateur x A b dans le registre (El) . 
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Dans un exemple particulier, une variable booleenne p est 
utilisee pour determiner, a la fin de chaque tour d T index 
i, si on realise ou non une randomisation. Si p prend une 
valeur active, alors on realise l'etape El : on remplace 
5 le nombre d par le nombre d-b{i(j)) et on memorise 
x A b (i ( j ) ) - 

Comme dans l T algorithme de gauche a droite classique, 
l'accumulateur R0 est utilise pour conserver la valeur de 
x A d m ->i, a chaque tour d T index i. On utilise le registre 
10 Rl pour conserver le produit : IIj xA d m->i(j) - 

Le tout applique a l'algorithme SAM connu, on obtient le 

I'algorithme I suivant : 

Entree : x, d = (d m , . . - , d 0 )2 

Sortie : y = x A d mod N 
15 R0 <- 1 ; Rl <- 1 ; R2 <- x ; i <- m 

tant que i > 0, faire : 
R0 O ROxRO mod N 

si di = 1 alors R0 <- R0*R2 mod N 
p <- R{0, 1} 

20 si ( (p = 1) ET di^^o ^ d m^i alors 

d <- d - d m _ >± 
Rl <- RlxRO mod N 
fin si 
i <- i-1 

25 fin tant que 

R0 <- ROxRl mod N 
retourner R0 

p <- R{0, 1} signifie que l'on choisit la valeur de p 
aleatoirement dans 1' ensemble {0, 1}. p est ainsi une 
30 variable booleenne aleatoire. 



L'etape de randomisation El (d <- d - d m ->±(j) ; Rl <- 
RlxRO mod N) est realisee uniquement si p = 1 (c T est-a- 
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dire si une randomisation doit etre realisee) et si di(j>- 
l->0 ^ d m _>i (j) - 

La condition di ( j)-i->o > d m ->i(j) signifie que les bits de 
poids 0 a i-1 de d sont superieurs a b(i(j)), b(i(j)) 
5 etant egal aux bits de poids i(j) a m de d- Ceci permet 
de garantir que les m-i+1 bits de poids les plus forts de 
d-b(i(j)) sont identiques aux m-i+1 bits de poids forts 
de d, et done que les m-i+1 premiers tours du calcul de 
x A d sont identiques aux m-i+1 premiers tours du calcul de 
10 x A (d-b(i(j) ) ) - 

La condition de "consistance" (di(j)-i->o ^ d m ->i(j)) 
implique que seulement les bits de poids faibles de 
l'exposant d sont rendus aleatoires . De plus, on remarque 
que 1 T etape de randomisation d <- d - d m ->i(j) modifie 
15 uniquement les (m-i(j)+l) bits les moins signif icatif s de 
d. 

A noter que, dans l'algorithme I, comme a 1 T iteration i = 
i(j) l f etape de mise a jour d <- d - d m ->± ne modifie pas 
les (m-i+1) bits les plus signif icatif s de d, cette etape 
20 peut etre remplacee par 1 T etape equivalente : 
d±-i->o <~ di-i->o ~ d m ->i . 



Selon une deux i erne variante du premier mode de 
realisation, on choisit z egal g„b<i), avec g un nombre 
25 aleatoire tel que di(j)-i->o ^ g-d m ->i(j). On utilise dans 
ce cas la relation x A d = x A (d-z).x A z - * A (d- 
g.b(i) ) . (x A b(i) )<3. et, d f un point de vue pratique, pour 
realiser une randomisation El a la fin du tour d 1 index 
i(j) : 

30 - on calcule z = g.b(i) et on soustrait le resultat a 

l T exposant d, 
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- le registre Rl est mis a jour en multipliant son 
contenu par le contenu de 1 1 accumulateur (x A b{i)) 
expose a la puissance g. Ce qui concretement peut 
etre realise par 1 1 instruction Rl <- Rl xRO A g mod N . 

5 On choisit de preference g = 2 Z , x etant un nombre entier 

aleatoire. Ceci simplifie considerablement les calculs 
car le calcul de g.b(i) = g-d m _ >i( j) revient a un simple 

decalage de bits et l f evaluation de (x A b(i)) A g mod N 
revient a realiser le calcul de % carres . 



10 Puisque multiplier par 2 % revient a un decalage de bits, 
1 1 instruction d <- d - 2 /c .d m ->± qui calcule d-g.b(i) peut 
etre remplacee par d m -> T <- d m -> T - d m ->i ou mieux, par 
1 f instruction equivalente di-i->T; <- di-i-^ - d m ->i . 

De plus, corame pour les autres modes de realisation, on 
15 doit verifier que a l r iteration i=i ( j ) , di-i->o ^ 2 /r .d m ->i- 
Cette condition de consistance peut etre remplacee par un 
test equivalent mais plus efficace : di_i-> T > dm-±. 

De preference, on choisit T aleatoire dans 1 T ensemble {0, 
T} „ La borne T est- choisie comme le meilleur compromis 
20 entre la randomisation des bits les plus signif icatif s de 
d et l'efficacite (en terme de temps de calcul notarnment) 
du calcul des % carres . 
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Dans l T exemple particulier de 1 T algorithme SAM, on 
obtient f inalement 1 1 algorithme I T suivant . 
Entree : x, d = (d m , . . . , d 0 >2 

Sortie : y = x A d mod N 
5 R0 <- 1 ; Rl <- 1 ; R2 <- x ; i <- m 

tant que i > 0, faire : 
R0 <- ROxRO mod N 

si di = 1 alors R0 <- R0xR2 mod N 
p <- R{0, 1} ; T <— R{0, T } 

10 si ((p = 1) ET (d.^^ > d m ^ ± )) alors 

d i-l-^T *~ d i-l->T ~ d m->i 
R3 <- R0 

tant que (T > 0) faire 

R3 o R3 A 2 mod N ; % <- T-l 
15 fin tant que 

Rl <- RlxR3 mod N 
fin si 
i <- i-1 
fin tant que 
20 R0 O ROxRl mod N 

retourner R0 

Un avantage de l 1 algorithme I f est qu T on randomise en 
partie la moitie superieure de d et qu T on ajoute en 
consequence de 1 T entropie (c 1 est-a-dire de 

25 l T aleatoirite) . Par contre, un registre supplementaire R3 
est necessaire pour calculer R0 A 2' U . 



Les algorithmes I et I f peuvent etre suffisants pour 
proteger les exposants dans certains cas . Par exemple, en 
30 raison de sa construction, le cryptosysteme RSA devoile 
tou jours la moitie la plus significative de l f exposant d 
prive si l f exposant public correspondant est petit. 
Rendre aleatoire les bits de poids forts de d 
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n T apporterait done aucune protection pour un tel 
algorithme . 

Toutefois, pour d'autres algorithmes et dans d T autres 
situations, rendre aleatoire tous les bits de d 
5 apporterait une securite supplementaire . 

Pour cela, on- propose r dans un deuxieme mode de 
realisation, de choisir z = b(i(j)) = d m ->i(j) pour un 
nombre aleatoire i(j) et, au cours de l f etape El f on 
soustrait b(i) non plus a d, mais a une partie des bits 
10 de d correspondant aux bits de d de poids i(j)-c{j) a 
i(j)-l, c(j) etant un nombre entier tel que i ( j ) >c (j ) >0 . 
Ceci peut etre exprime par 1 1 instruction suivante : 
d m ->i(j)-c(j) <~ d m ->i(j)- c (j) - d m ->i(j) 

15 Preferentiellement, comme lors de 1 1 etape El d'une 
randomisation au rang i ( j ) , on modifie les bits de poids 
i(j) - c(j) a i(j) - 1 de d et on choisit de ne realiser 
qu f une seule randomisation a la fois, et on choisit de 
realiser une etape de consolidation a la fin du rang 

20 utilisant le dernier bit de d modifie lors de l 1 etape de 
randomisation El precedente (et non plus a la fin du 
procede) , c f est a dire apres l 1 evaluation du resultat 
partiel x A (d m ->± (j ) - c (j ) ) niod N. 

Ceci revient a imposer la condition i(j+l) < i(j) - c(j), 
25 i(j+l) etant 1 1 index de la randomisation suivante. Ceci 
permet de ne pas utiliser de registres supplementaires 
pour memoriser les bits de l f exposant qui ont ete 
modifies lors d'une randomisation precedente. Egalement, 
on choisit i(j) - c(j) < 0, de sorte que i(j) - c(j) 
30 puisse etre utilise pour definir le rang d T un bit de d 
pour le calcul de x A (d m ->± (j)-c(j) ) mod N - 
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Ces deux conditions peuvent etre concretisees par 
1 T utilisation d f un semaphore booleen o qui indique si une 
mise a jour est autorisee ou pas : a a une valeur 
inactive tant que i > i(j) - c(j) et est activee lorsque 
5 i< i(j) - c(j). Elle devient de plus inutilisable des que 
i(j) ~ c(j) < 0. 

Les (m-i(j)+l) bits de poids les plus forts de d restent 
inchanges lors de l'etape de randomisation si (condition 
de consistance) : 
0 di<j)-l->i(j)-c(j) > d m ^ i(j) 

(i(j) - 1) - (i(j) - c(j) ) > m - i(j) <=> c(j) > m - i(j) + 1 



Selon une premiere variante du deuxieme mode de 
realisation, on choisit c(j) egal a m-i(j)+l. Avec la 
15 condition i ( j ) > c ( j ) > 0, la condition c(j) > m - i(j) + 
1 est verifiee si 2.i(j) > m+1 . 
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L f algorithme SAM modifie selon cette variante peut alors 
s'ecrire (algorithme II) : 

Entree : x, d = (d m , . . - , d 0 >2 

Sortie : y = x A d mod N 
5 R0 <- 1 ; Rl <- 1 ; R2 <- x ; 

i <- m ; c <- -1 ; a <- 1 
tant que i > 0, faire : 
R0 <- ROxRO mod N 

si di = 1 alors R0 <- R0*R2 mod N fin si 
10 si (2i > m+1) ET (a = 1) alors c <- m-i+1 

sinon a = 0 

fin si 

p <- R{0, 1} 

8 <- p ET (d±-i -> i- c ^ d m _>i) ET a 
15 si £ = 1 alors 

Rl o R0 ; a <- 0 

di-i ~> i-c <- di-i -> i-c ~ dm -> i 

fin si 

si c = 0 alors R0 <- ROxRl mod N ; 0 <- 1 
20 fin si 

c <- c-1 ; i <- i-1 
fin tant que 
retourner R0 

On notera que 1 T algorithme I correspond a l f algorithme II 
25 dans le cas ou c(j) = i(j) pour tout j . On notera 
egalement que dans 1 T algorithme II, la condition de 
consistance ( d i(j) _ 1 ^i ( j ) „ c(j) > d m _ >i(j) ) est satisfaite durant 

la premiere partie de 1 T algorithme, en considerant de 
maniere approximative que di^-i^i^-cy) et d m ^ i( j) sont des 

30 nombres aleatoires de (m-i(j)+l) bits. On notera, dans 
cet algorithme, que tous les bits de l f exposant sont 
randomises . 
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Selon une deuxieme variante du deuxieme mode de 
realisation, on choisit c(j) aleatoire et compris entre 
i ( j ) et m-i { j ) +1 . 

On a vu precedemment que la condition c(j) > m - i(j) +1 
5 doit etre verifiee. En posant c(j) =m~i(j) + 1 + V(j), 
on doit done verifier V(j) > 0. Par ailleurs, avec la 
condition i(j) > c(j) > 0, il vient 2.i(j) > m+l+V(j). 
Done la plus grande valeur possible pour V(j) est 2.i(j)- 
rn-1 et done, comrae V(j) >0, le parametre c(j) = m- 
10 i(j)+l+v(j) peut prendre toute valeur dans 1 1 ensemble {m- 
i(j)+l, i(j)}. On peut alors generaliser l f algorithme 

II en choisissant c(j) aleatoire dans l f ensemble {m- 
i(j)+l f i(j) } - 

Dans 1 ! exemple particulier de 1 1 algorithme II cela 
15 revient a remplacer 1 1 instruction : 

si (2i > m+1) ET (O = 1) alors c <- m-i+1 

par 1 1 instruction : 

si (2i > m+1) ET (G = 1) alors c <- R{m-i+l, i} 
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ce qui donne 1 1 algorithme III suivant : 

Entree : x, d = (d m , - . . r d 0 ) 2 
Sortie : y = x A d mod N 
5 R0 <- 1 ; Rl <- 1 ; R2 <- x ; 

i <- m ; c <- -1 ; O <- 1 
tant que i > 0, faire : 
R0 <- ROxRO mod N 

si di = 1 alors R0 <- R0xR2 mod N fin si 
10 si (2i > m+1) ET (G = 1) 

alors c <- R{m-i+l, i} 
sinon G = 0 

fin si 

p <- R{0, 1} 

15 8 <- p ET (d±-i -> i- c ^ d m ->i) ET G 

si 8 = 1 alors 

Rl O R0 ; G <— 0 

d±-i ~> i-c <" di-i -> i- c - d m -> i 

fin si 

20 si c = 0 alors R0 <- ROxRl mod N ; a <- 1 

fin si 

c <- c-1 ; i <- i-1 
fin tant que 
retourner R0 

25 Une valeur plus grande pour V(j) augmente la probability 
de succes pour la condition de consistance (et done pour 
le choix d f une randomisation) . D f un autre cote r cela 
reduit egalement les valeurs possibles de l T indexe i 
verifiant la condition 2.i(j) > m+l+V ( j ) . 



La frequence d 1 occurrence de la valeur p = 0 de la 
variable booleenne p est un parametre du procede 
permettant de choisir le meilleur compromis entre 
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performance et securite, en fonction de 1 1 application 
envisagee : plus on realise d'etapes de randomisation, 
plus on penalise le temps de calcul global ; inversement, 
moins on realise d'etapes de randomisation, plus on 
5 facilite les attaques par recherche exhaustive. 

Un bon moyen pour minimiser le cout des operations 
additionnelles consiste a modifier legerement le 
generateur de nombres aleatoires produisant le nombre p 
de sorte que, lorsque le poids de Hamming de d-z (z peut 

10 avoir differentes valeurs en fonction de b(i), selon le 
mode de realisation envisage) est plus faible que le 
poids de Hamming de d, pa une plus forte probability de 
valoir 1, et inversement. Avec cette astuce, l f algorithme 
va tendre a selectionner le cas ayant le plus faible 

15 poids de Hamming, c T est-a-dire la branche la plus rapide. 

On note seulement que cet algorithme ne peut pas tou jours 
selectionner la branche la plus rapide, sinon, il 
deviendrait deterministe et done facilement attaquable. 



20 Selon un troisieme mode de realisation de 1 T invention, on 
choisit au debut du procede un nombre u aleatoire de v 
bits et on memorise x A u dans le registre Rl . De 
preference, le nombre u est modi fie plusieurs fois au 
cours du procede, pour augmenter le facteur aleatoire 

25 dans le procede. 

Puis, au cours du calcul, pour un rang i(j) donne, on se 

demande, pour un paquet w de v bits de d tel que w>u, si 

le calcul de x A w est plus couteux (en terme de temps de 
calcul) que celui de x A <w~u)*x A u. 
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Pour repondre a cette question,, il suffit de determiner 
si H(w) > H(w-u) + 1. H(w) est le poids de Hamming de w, 
il est representatif du cout de l f operation x A w. H(w-u) 
est le poids de Hamming de x A (w-u) , representatif de 
5 x A (w-u) . Le terme " + 1" est representatif du cout de la 
multiplication de x A (w-u) par x A u (x A u etant memorise par 
ailleurs) . 

Si le calcul de x A w est mo ins couteux que le calcul de 
x A (w-u) *x A u, alors on continue le procede. Sinon, si le 

10 calcul de x A w est plus couteux que le calcul de x A (w- 
u) *x A u, alors on remplace le paquet w de bits de d par le 
nombre w-u. L T etape de consolidation (ici, une 
multiplication par x A u, qui ce traduit par 1 T operation R0 
<- ROxRl mod N) sera realisee lorsque tous les bits de d 

15 modifies auront ete utilises. 

Par rapport aux deux precedents modes de realisation 
decrits, ce troisieme mode de realisation presente 
l'avantage d'etre plus rapide, puisque, pour effectuer 
une randomisation^ on choisit chaque fois le chemin le 

20 plus rapide (le moins couteux) . Ainsi, on montre 
experiment alement que la complexity de ce procede est 
d 1 environ 1.4. La complexite est le nombre moyen de 
multiplications de contenus de registres realisees pour 
chaque bit de 1 ! exposant d. La complexite d f un algorithme 

25 SAM non protege est de 1.5 ; la complexite des procedes 
selon le premier ou le deuxieme modes de realisation de 
1 T invention est quant a elle legerement superieure a 1.5. 

Par ailleurs , dans ce troisieme mode de realisation, la 

source d 1 aleatoirite (le nombre u) est exterieure au 

30 procede. Enfin, les ressources (notamment le nombre de 
registres) utilisees sont les memes . 
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Ce troisieme mode de realisation peut etre concretise par 
1 T algorithme IV suivant : 

Entree : x, d = (d m , . . . , d 0 ) 2 
5 Parametres : v, k 

Sortie : y = x A d mod N 

R0 <- 1 ; R2 <- x ; i <- m ; L - { } 
tant que i > 0, faire 
R0 <- ROxRO mod N 
10 si di = 1 alors R0 <- R0*R2 mod N fin si 

si i = m mod( (m+1) /k) ) alors a <- 1 fin si 
sia=leti={} alors 

(modification du nombre u en cours de pro cede) 
G <- 0; u <- R{0 r 2 V -1} ; 
15 Rl = x A u mod N 

fin si 

w <- di->i- v -f-l 
h <- H(w) 

si w > u alors A <- w-u ; hA <- 1 + H (A) 
20 sinon hA <- v+2 

fin si 

p <~ R{0 r 1} 

si [ (a=0) A(i-v+l>0) ] a 

[ (h>h A )OU( (p=l)ET(h=hA) ) ] alors 
25 (on choisit de realiser (w-u) ) 

di->±- v +l <~ A ; L <- L u {i-v+1} 

fin si 

si (i <= L) alors 

R0 <- ROxRl mod N 
30 L <- L \{i} 

fin si 
i <- i-1 
fin tant que 
retourner R0 
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Dans cet exemple, l f ensemble L contient la liste des 
indices pour lesquels une etape de consolidation doit 
etre realisee. L T instruction "si d± = 1 alors R0 <- R0*R2 
mod N fin si" est 1 T instruction classique d f un algorithme 
5 SAM, realisee pour chaque valeur de i. 

L'exposant d est ici decoupe en k blocs , de taille 
identique si m+1 est divisible par k ou de taille 
identique a une unite pres sinon. 

A chaque debut de bloc (c'est a dire pour i = m 
10 mod( (1+1) /k) ) , on met la variable o a 1. Ensuite, quand a 
vaut 1, il faut attendre que l f ensemble I* soit vide avant 
d'effectuer une nouvelle etape de randomisation. A chaque 
etape de consolidation, on enleve un indice i(j) 
correspondant de 1 T ensemble L (instruction L <- L \{i}) . 
15 Lorsque 1 1 ensemble L est vide, une nouvelle valeur de u 
peut etre choisie et x A u est calcule par un algorithme 
SAM classique utilisant les registres Rl et R2 . 

Au milieu de chaque bloc (a = 0) , on realise une ou 
plusieurs etapes de randomisation, lorsque h>hA ou (p=l et 

20 h = hA) / et on memorise a chaque fois (instruction 
L <- L U {i-v+1}) l 1 indice i(j)-v+l auquel on devra 
effectuer une etape de consolidation. 11 faut done que i- 
v+1 soit un indice de consolidation valable, c f est-a-dire 
que i-v+1 >0 (condition de consistance) . A chaque etape 

25 de randomisation, si h > h.A, on choisit de realiser 
l 1 operation x A (w-u) *x A u, moins couteuse, et on modifie 
les bits de d en consequence (di->i- v +i <- A) . Si h < hA, on 
choisit de realiser x A w, moins couteuse, et on ne modifie 
pas d. Si h = hA, on choisit aleatoirement (p = 0 ou 1 

30 aleatoire) de realiser x A (w-u) *x A u ou x A w. 
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A titre indicatif, on donne le nombre moyen de 
multiplications modulaires necessaires pour realiser une 
exponentiation de longueur 1024 avec 1 1 algorithme SAM, 
protege ou non : 
5 • SAM sans protection : 1536 multiplication 

• SAM protege en ajoutant un multiple de <£<n) <r.<X>(n) 
avec r de 64 bits) ajoute a l'exposant d (art 
anterieur) : 1536 + 96 multiplications 

• SAM protege selon l 1 algorithme II ou III : 1536 + 10 
10 multiplications 

• SAM protege selon 1 T algorithme 1 1 : 1536+512 
multiplications. p, p etant la valeur moyenne de p 

• SAM protege selon l 1 algorithme IV : 14 43 
multiplications 



15 On constate par ces exemples qu f un algorithme protege 
selon 1 T invention est tres efficace, en terme de 
multiplications realisees (et done de temps de calcul) - 
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REVENDICATIONS 



1 . Procede cryptographique dans un composant 
electronique au cours duquel on realise une 
exponentiation modulaire de type x'M, avec d un exposant 
entier de m+1 bits, en balayant les bits de d de gauche a 

5 droite dans une boucle indicee par i variant de m a 0 et 
en calculant et en memorisant dans un accumulateur (R0) , 
a chaque tour de rang i, un resultat partiel actualise 
egal a x A b(i), b(i) etant les m-i+1 bits de poids les 
plus forts de 1 T exposant d (b(i) = d m ->i) , 

10 le procede etant caracterise en ce que, a la fin d T un 
tour de rang i(j) (i = i(0)) choisi aleatoirement , on 
realise une etape El de randomisation au cours de 
laquelle : 

El : on soustrait un norabre z (z= b(i(j)), z = 
15 b (i ( j ) ) - 2 X , z = u) aleatoire a une partie des bits de 

d non encore utilises (di-i->o) dans le procede 

puis, apres avoir utilise les bits de d modifies par 
1 T etape de randomisation El, on realise une etape de 
consolidation E2 au cours de laquelle : 
20 E2 : on memorise (R0 <- RlxRO) dans 1 1 accumulateur 

(R0) le resultat de la multiplication du contenu de 
1 1 accumulateur (x A b(i)) par un nombre fonction de x A z 
memorise dans un registre (Rl) . 

2. Procede selon la revendication precedente, dans 
25 lequel 1 1 etape El est repetee une ou plusieurs fois, a la 

fin de differents tours de rang i(j) (i = i(0), i = i(l), 
...) choisis aleatoirement entre 0 et: m. 
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3. Procede selon la revendication precedente, dans 
lequel, a chaque tour i, on decide aleatoirement (p=l) si 
on realise 1 1 etape El ou pas. 

4. Procede cryptographique selon l'une des 
5 revendications 1 a 3, dans lequel le nombre z (z= 

b(i(j)), z = b (i (j ) ) .2 T ) est fonction de l T exposant d, 
dans lequel , lors de l T etape de randomisation, on 
memorise (Rl <- ROxRl) egalement dans un registre <R1) le 
resultat de la multiplication du contenu de 
10 l'accumulateur (x A b(i)) par le contenu du dit registre 
(Rl) . 

5. Procede selon la revendication 4, dans lequel l T etape 
de consolidation E2 est realisee apres le dernier tour de 
rang i egal a 0 . 

15 6. Procede selon la revendication precedente, au cours 
duquel, lors de 1 1 etape El, on sous trait a d le nombre 
b(i) . 
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7. Precede selon la revendication 6, au cours duquel on 
realise : 

Entree : x, d = (d m , . . . , d 0 ) 2 

Sortie : y = x A d mod N 
5 R0 <- 1 ; Rl O 1 ; R2 <- x ; i <- m 

tant que i > 0, faire : 
R0 <- ROxRO mod N 

si di « 1 alors R0 <- R0xR2 mod N 
p <- R{0 f 1} 

10 si ( (p = 1) ET d i _ 1 _>. 0 > d m _ ± alors 

d <r- d - d m _ >;L 

Rl <- RlxRO mod N 
fin si 
i <- i-1 

15 fin tant que 

R0 <- ROxRl mod N 
retourner R0 

8. Precede selon la revendication 5, au cours duquel 
l f etape El est modifiee comme suit : 

20 El : on soustrait a d un nombre egal a g m b(i), g 

etant un nombre entier positif ; on eleve le resultat 
partiel actuel (x A b(i)) a la puissance g et on 
memorise le resultat dans le registre (Rl) - 

9. Procede selon la revendication precedente, dans 
25 lequel g est egal a 2 % f T etant un nombre aleatoire choisi 

entre 0 et T. 
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10. Procede selon la revendication prec^dente, dans 
lequel on realise : 

Entree : x, d = (d m , • . . , d 0 )2 

Sortie : y - x A d mod N 
5 R0 <- 1 ; Rl <- 1 ; R2 <- x ; i <- m 

tant que i > 0, faire : 
R0 <- ROxRO mod N 

si di = 1 alors R0 <- R0*R2 mod N 
p <- R{0/1} ; x <- R{0, T} 
10 si ((p = 1) ET (cL^!^ > d m „ ± )) alors 

R3 <- R0 

tant que (T > 0) faire 

R3 <- R3 A 2 mod N ; X <- T-l 
15 fin tant que 

Rl <- RlxR3 mod N 
fin si 
i <- i-1 
fin tant que 
20 R0 <- ROxRl mod N 

retourner RO 

11. Procede selon l r une des revendications 1 a 4, dans 
lequel 1 1 etape de consolidation E2 est realisee a la fin 
du rang utilisant le dernier bit de d modifie lors de 

25 l 1 etape El. 

12. Procede selon la revendication 11, au cours duquel, 
lors de 1 T etape El, on soustrait le nombre b(i) aux bits 
de d de rang i(j) - c(j) a i(j)-l, c(j) etant un nombre 
entier et on memorise le contenu de 1 T accumulateur 

30 (x A b(i(j)) dans le registre (Rl) . 

13. Procede selon la revendication pr6cedente, au cours 
duquel, lors du tour de rang on choisit 
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aleatoirement de realiser 1 1 etape El uniquement si i(j+l) 
< ±(j)-c(j). (a = 1 semaphore libre) . 

14. Precede selon la revendication 12 ou 13, dans lequel 
c(j) est egal a m-i(j)+l. 

5 15. Procede selon la revendication precedente, au cours 
duquel on realise les etapes suivantes : 
Entree : x, d = (d m , . . . r d 0 ) 2 

Sortie : y = x A d mod N 

R0 <- 1 ; Rl <- 1 ; R2 <- x ; 
10 i <- m ; c <- -1 ; o <- 1 

tant que i > 0, faire : 
R0 <- ROxRO mod N 

si di = 1 alors R0 <- R0*R2 mod N fin si 
si (21 > m+1) ET (a = 1) alors c <- m-i+1 
15 sinon o = 0 

fin si 
p <- R{0, 1} 

£ <- p ET (di-i -> i- c * d m ->±) ET a 
si 8 = 1 alors 
20 Rl <- R0 ; o <- 0 

di-i -> i-c <- di-i -> i-c - d m -> i 

fin si 

si c = 0 alors 

R0 <- ROxRl mod N ; O <- 1 

25 fin si 

c <- c-1 ; i <- i-1 
fin tant que 
retourner R0 



16. Proced6 selon la revendication 12 ou 13 , dans lequel 
30 c(j) est choisi aleatoirement entre i(j) et m-i(j)+l. 
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17. Procede selon la revendication precedente, au cours 
duquel on realise : 

Entree : x, d = (d m , . . - , d 0 ) 2 

Sortie : y = x^d mod N 

R0 <- 1 ; Rl <- 1 ; R2 <- x ; 
i <- m ; c <- -1 ; a <- 1 
tant que i > 0, faire : 
R0 <- ROxRO mod N 

si di » 1 alors R0 <- R0xR2 mod N 
si (2i > m+1) ET (O = 1) 

alors c <- R{m-i+l, , i} 
sinon a = 0 
8 <- p ET (d±-i -> i- c S> d m ->i) ET a 
si 8 == 1 alors 

Rl <- R0 ; o <- 0 

di_i -> i-c <~ di-i -> i-c ~ d m -> i 

fin si 

si c = 0 alors 

R0 <- ROxRl mod N ; O <- 1 
fin si 

c <- c-1 / i <- i-1 
fin tant que 
retourner R0 

18. Procede selon l f une des revendications 1 a 2, dans 
lequel le nombre z est un nombre u (z = u) de v bits 
choisi aleatoirement et independant de l f exposant d. 

19. Procede selon la revendication precedente, dans 
lequel, au cours de l'etape El, le nombre u est soustrait 
a un paquet w de v bits de d. 

20. Procede selon la revendication precedente, au cours 
duquel : 

• si H(w-u) + 1 < H(w), on choisit de realiser une etape 
El de randomisation, 
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• si H(w-u) + 1 > H(w), on choisit de ne pas realiser 
d'etape El, 

• si H(w-l) + 1 = H(w), on choisit aleatoirement de 
realiser ou non une 6tape El de randomisation. 

21. Precede selon la revendication pr^cedente, au cours 

duquel on realise : 

Entree : x, d = (d m , . . . , d 0 ) 2 

Parametres : v, k 
Sortie : y = x A d mod N 

R0 <- 1 ; R2 <- x ; i <- m ; L = { } 

tant que i > 0, faire 
R0 <- ROxRO mod N 

si di = 1 alors R0 <- R0*R2 mod N fin si 
si i = m mod ( (m+1) /k) ) alors G <— 1 fin si 
si a = 1 et L = { } alors 

s <- 0; u <- R{0, 2 V -1} ; 

Rl = x A u mod N 
fin si 

w <- di->i- v +l 
h <- H(w) 

si w > u alors A <- w-u ; hA <- 1 + H(A) 
sinon hA <- v+2 

fin si 

p <- R{0, 1} 

si [ (0=0) A(i-v+l>0) ] a 

[ (h>hA) OU ( (p=l ) ET (h=hA) ) ] alors 
di->i- v +l <- A ; L <- Ii U {i-v+1} 

fin si 

si (i € L) alors 

RO <- ROxRl mod N 
L <- L \{i} 
fin si 
i <- i-1 
fin tant que 
retourner RO 



